跳转到主要内容

静态数据加密

本文约需 2 分钟阅读

静态加密 (Encryption at Rest) 是指对存储中保存的数据进行加密以加以保护的技术。即使保存在硬盘、 SSD 、云存储等中的数据被物理盗取或遭到非法访问,只要经过加密就无法读取其内容。截至 2025 年,主要的云服务 (AWS 、 Azure 、 GCP) 默认启用静态加密,作为企业合规要求也是标准措施。它与传输中加密 (Encryption in Transit) 是相对应的概念。

现场使用案例

“一名员工的笔记本电脑在出差地遭到盗窃,但由于已启用 BitLocker 的全盘加密,我们判断数据泄露的风险极低。若未加密,则会产生作为客户信息泄露的报告义务。”

静态加密的方式

全盘加密 (FDE) 是对整个磁盘进行加密的方式,以 BitLocker (Windows) 和 FileVault (macOS) 为代表。文件级加密对单个文件或文件夹进行加密。数据库加密通过 TDE (Transparent Data Encryption) 等保护数据库内的数据。在云环境中,使用 AWS KMS 或 Azure Key Vault 的服务器端加密是标准做法。数据加密的书籍 (Amazon)可供深入学习。

与传输时加密的区别

静态加密保护存储上的数据,而传输时加密 (如 SSL/TLS) 则保护在网络上流动的数据。例如,通过 HTTPS 发送的密码在传输过程中是加密的,但在保存到服务器的数据库时,如果没有静态加密就会以明文形式残留。完整的数据保护需要二者兼备。加密的基础知识中详细讲解了二者的关系。

与密码的关联

解密已加密的存储需要密码或加密密钥。将足够长的随机密码用作磁盘加密的口令短语,即可对物理盗窃也实现高度保护。加密密钥的管理同样重要,一旦丢失密钥就无法访问数据。据称笔记本电脑每年丢失或被盗的数量高达数百万台,因此与云存储的安全一起,全盘加密是必不可少的措施。密钥管理的书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena